V peněženkách DeFi Dapp byla nalezena vážná chyba

Tým produktových designérů společnosti ZenGo, nevázané peněženkové společnosti, objevil chybu, která by mohla vyčerpat prostředky uživatelů z téměř jakékoli peněženky dapp. Tato chyba zabezpečení je známá již dva roky. Ouriel Ohayon, generální ředitel společnosti ZenGo, nyní bije na poplach a tvrdí, že představuje riziko pro uživatele, kteří mu přímo nečelí.

Jak chyba funguje

Problém zabezpečení s názvem BaDApprove není chyba kódu, ale problém v tom, jak uživatelé ve výchozím nastavení vybírají oprávnění transakcí. Ohayon zjistil, že když uživatelé schválí konkrétní transakci, ve výchozím nastavení také schvalují všechny budoucí transakce.

To otevírá dveře decentralizovaným malwarovým aplikacím, které bez jejich vědomí interagují s prostředky uživatelů.

Protože to nebylo dříve opraveno

To, co Ohayon a ZenGo zdůraznili, je v komunitě DeFi známým problémem už léta. Otázkou tedy je, proč to nebylo dosud vyřešeno. Pro některé v oboru je odpovědí, že to není ani tak chyba nebo chyba jako špatná funkčnost.

V září 2018 Jordan Randolph, zástupce decentralizované burzy Ethex, kategorizoval problém jako středně závažný. Jednorázová oprávnění k pohybu „téměř nekonečné množství tokenů ... může být pohodlné,“ napsal.

„Mít téměř nekonečný počet schválených tokenů však znamená, že všechny [vaše] tokeny lze převést pomocí chytré smlouvy.“ Předvolba peněženky pak podle volby spočívá v výběru mezi pohodlím a bezpečností.

Ben He, generální ředitel imToken, uvedl: „Není to chyba zabezpečení, je to špatná konvence pro celý ekosystém Ethereum, protože většina aplikací Dapps / DeFi vyžaduje neomezené schválení uživatelů.“

Metamask učinil podobnou odpověď, pokud jde o neomezená oprávnění. "Je to vlastně bezpečná funkce, kterou uživatelé pravidelně a zodpovědně používají." Není to nějaký druh chyby nebo problému “.

Jak ImToken, tak MetaMask byly proaktivní při přidávání záruk, jako jsou vyskakovací zprávy požadující potvrzení o odeslání prostředků a umožňující uživatelům změnit schválenou částku v pokročilém nastavení. Ohayon také citoval Brave a Coinbase pro jejich doplňková varování k varováním Dapps.

Dappy je třeba přizpůsobit běžnému DeFi

"Některé bezpečnostní kompromisy, které mohly být přijatelné v době, kdy bylo málo uživatelů a technicky vysoce vyškolených, již nejsou přijatelné, protože DeFi jde do hlavního proudu, získává mnoho technicky špatně vyškolených uživatelů a spravuje kryptoměny v hodnotě miliard dolarů ( USD), “napsal v příspěvku Alex Manuskin, výzkumný pracovník ZenGo.

Věří, že pokud vůbec, kryptoměna, s níž je již možné obchodovat na platformách, jako je BitcoinPro se stanou hlavním proudem, musí být zavedena přiměřená ochranná opatření, aby nebyli využíváni noví uživatelé. Podobný problém nastal před dvěma týdny po krypto blesku, kdy se objevila otázka obchodování jističů.

Pro mnohé jsou tato opatření v rozporu s krypto étosem decentralizace a osobní autonomie.